Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

보안

슈나이더 일렉트릭, 클래로티와 ‘빌딩용 사이버 보안 솔루션’ 공동 개발 및 출시

슈나이더 일렉트릭은 모든 빌딩 고객들이 안전한 빌딩 관리 시스템(BMS: Building Management System)으로 사람과 자산, 운영환경을 보호할 수 있도록 지원하는 ‘빌딩용 사이버 보안 솔루션(Cybersecurity Solutions for Buildings)’을 출시했다고 밝혔다.    산업, 헬스케어 및 상업 환경 전반의 가상물리시스템(CPS) 보안 기업인 클래로티의 첨단 기술과 슈나이더 일렉트릭의 산업 전문성 및 서비스를 결합해 공동 개발한 이 솔루션은 시설 전반의 모든 자산을 식별하고, 탁월한 위험 및 취약성 관리 기능을 제공하며, 위협에 대한 지속적인 모니터링을 통해 기업의 투자가치를 보호할 수 있다. 슈나이더 일렉트릭의 디지털 엔터프라이즈 솔루션 부사장인 애닉 빌뇌브는 “빌딩에 IoT가 통합되면서 이 분야 전반에 걸쳐 흥미로운 변화가 일어나고 있지만, 새로운 위험 또한 내포하고 있다”며, “우리는 클래로티와 협력해 현재와 미래의 빌딩이 직면하게 될 고유의 보안 및 운영 위험에 대응할 수 있는 업계 선도적이고 포괄적인 솔루션을 고객들에게 제공하게 되었다”고 밝혔다. 점점 더 많은 IoT 장치들이 빌딩 공간에 배치되고, 이전에는 OT(Operational Technology) 및 빌딩 관리 시스템과 분리되었던 해당 IT 장치 간의 연결성이 증가함에 따라 사이버 공격의 주요 표적이 되면서 취약성이 높아지고 있다. 또한 시설관리자들이 단편적인 방식으로 수백 개에 달하는 공급업체와 서비스 계약업체 및 기술자들을 감독하기 때문에 복잡성과 위험성은 더욱 증가하게 된다. 클래로티의 전세계 채널 및 제휴 담당 부사장인 키이스 카터는 “빌딩 관리 시스템을 포함한 가상물리시스템 보안의 최우선 과제는 물리적 프로세스를 운영환경에서 안전하게 유지하는 것”이라며, “클래로티의 심층적 도메인 전문기술을 기반으로 특별히 구현된 기술과 슈나이더 일렉트릭의 입증된 전문성 및 서비스를 융합해 보다 효율적이고 지속 가능한 미래를 만들 수 있는...

슈나이더 일렉트릭 클래로티 7일 전

글로벌 칼럼ㅣ위치 데이터가 개인이나 기업에 위험을 초래한다

위치 데이터 시장은 이미 거대하며, 계속 커지고 있다. 이런 데이터는 네트워크 업체, 스마트 기기에 깔린 앱, 사용자가 접속한 웹사이트 등에서 수집된다. 마케팅엔 성배이지만, 정보보안(InfoSec)에는 악몽이다.  위치 추적 알고리즘과 관련 기술을 개발하는 기업들이 ‘초개인화 마케팅’이라는 로켓을 타고 계속해서 놀라운 속도로 성장하고 있다. 작년 가을 그랜드뷰 리서치(Grandview Research)는 미국의 위치 데이터 시장만 미화 약 140억 달러 규모라고 추산했으며, 2022년에서 2030년까지 CAGR 15.6%로 성장하리라 전망했다.  이를 감안하면 위치 데이터 시장은 의심할 여지없이 뛰어들어야 할 달콤한 시장으로 보인다. 동시에 IT 및 보안 부서가 정기적으로 새로운 과제를 직면하는 곳이기도 하다.     위치 데이터 공유의 위험  직원들이 남긴 데이터 흔적을 통해 경쟁사는 기업의 R&D를 추론하고, 영업 비밀을 식별하며, 직원 및 기업 자산의 위치를 카탈로그화할 수 있다.  엔지니어 그리고 이러한 앱 및 알고리즘을 지원하는 사람이 직면하는 또 다른 문제는 ‘정보’가 어떻게 개인의 이익과는 반대로 사용될 수 있는지다. 예를 들면 美 연방대법원의 ‘로 대 웨이드(Roe v. Wade)’ 판결이나 미국 일부 주(州)에서 통과된 낙태 금지법 사례에서 이를 살펴볼 수 있다.   바이스(Vice) 매거진은 ‘데이터 브로커가 낙태 클리닉을 방문하는 사람들의 위치 데이터를 팔고 있다(Data Broker Is Selling Location Data of People Who Visit Abortion Clinics)’라는 제목의 기사에서 “가족계획연맹(Planned Parenthood)을 방문한 사람들이 어디서 왔고, 이후 어디로 갔는지 일주일 치 데이터를 얻는 데 160달러가 조금 넘는 비용이 든다”라고 밝혔다.  이어 기사는 “해당 데이터를 판매하는 곳인 세이프그래...

위치 데이터 개인정보 프라이버시 7일 전

"애플의 보안 철학을 담은" 기업용 보안 툴 2가지

WWDC는 애플의 다양한 신제품과 함께 애플이 가지고 있는 기술 철학도 엿볼 수 있는 행사다. 올해도 다양한 애플의 개발 도구가 쏟아져 나온 가운데, 특히 보안 관련 발표에서 주목할 만한 기술이 있었다. 관리형 장치 증명(Managed Device Attestation)과 엔드포인트 보안과 관련된 내용이다. 두 기술 모두 일반 사용자나 인프라 관리자보다, 기기 관리와 보안 솔루션을 다루는 개발자에게 도움이 될 만한 내용을 담고 있다.    복잡한 기기 인증을 쉽게, 관리형 장치 증명 일단 관리형 장치 증명부터 알아보자. 이 기능을 이용하면 서버와 온프레미스 및 클라우드 서비스가 어떤 리소스 접근 요청을 허용해야 하는지 파악하기 쉽다.  사실 지난 10년 동안 클라우드와 모바일 기기 사용이 기하급수적으로 늘면서 기업 내 보안 환경은 크게 바뀌었다. 10년 전만 하더라도 기업 보안 관점에서 중요한 것은 VPN으로 대표되는 원격 액세스 도구를 이용해 접근할 수 있는 네트워크 경계를 만들고 그 안에서 기업 데이터와 네트워크를 보호하는 것이었다.  하지만 오늘날의 보안은 훨씬 복잡하다. 많은 리소스가 기업 네트워크 밖에 존재하며, 광범위한 로컬, 원격, 클라우드 서비스에서 들어온 요청을 신뢰할 수 있는지 먼저 평가해야 한다. 이런 평가를 대신해주는 서비스는 많은데, 보통 꽤 복잡한 인증이나 권한 부여 기술을 제공한다. 예를 들어 액세스 요청이 유효한지 확인하기 위해서는 사용자 ID, 장치 ID, 위치 정보, 연결 상태, 날짜 및 시간, 장치 관리 상태 같은 데이터가 기준으로 활용된다. 얼마나 민감한 데이터 혹은 시스템에 접근하느냐에 따라 단순한 정보만 가지고 진행할 수 있지만, 어떤 경우는 앞서 언급한 모든 기준을 다 확인해야 할 만큼 까다롭게 검증 과정이 필요할 수 있다.  여러 기준 중에서도 가장 활용하기 좋은 것이 장치 ID다. 장치 ID를 이용하면 보안 관리자는 모든 기업 시스템(MDM 서비스 포함)과 리소...

애플 WWDC 2022.06.21

소프트웨어 보안의 필수품 '서드파티 라이브러리 목록'

웨스 웰스가 이끄는 인스턴트 커넥트 소프트웨어(Instant Connect Software) 팀은 오래전부터 무엇보다 보안을 중요시해왔다. 인스턴트 커넥트 소프트웨어는 LTE, 5G, MANET을 포함한 다양한 사설 및 공용 네트워크를 통해 모바일, IP, 라디오, 전화 디바이스를 연결하는 푸시-투-토크(push-to-talk) 음성 커뮤니케이션, 그리고 그것을 구현하는 커뮤니케이션 소프트웨어 개발업체이며, 웰스는 이 업체의 최고 제품 책임자다. 인스턴트 커넥트 소프트웨어는 최전선 실무 팀에 필요한 연결을 구현한다. 주 고객은 전 세계의 정부와 군사 기관이다. 석유 및 가스, 광산, 제조, 물류 분야의 사기업 역시 이 소프트웨어를 사용해 핵심 작업을 지원한다.   웰스는 고객의 특성상 소프트웨어가 “모든 면에서 안전해야 한다”라고 말했다.   웰스는 “고급 암호화 표준(AES)과 전송 계층 보안(TLS)을 포함한 제품 보안 전략으로 모든 부분이 안전하게 보호되며 완전히 암호화된다”라고 말했다.   인스턴트 커넥트는 연방 정보 처리 표준(FIPS) 140-2에 명시된 암호화 모듈에 대한 미국 정부의 컴퓨터 보안 표준을 준수한다. 인스턴트 커넥트 알고리즘에 대한 NIST 인증은 FIPS 표준을 충족 또는 초과 충족한다는 것을 입증한다.   웰스는 정부 및 군 기관을 고객으로 두려면 이러한 요건을 모두 갖추어야 한다고 말했다.   또한 인스턴트 커넥트 소프트웨어 제품에 사용되는 모든 서드파티 라이브러리 목록(소프트웨어 명세서, SBOM)도 고객에 제공해야 한다.   개선 기회 인스턴트 커넥트는 보안에 전념하면서 오랜 기간 정부 기관을 대상으로 보안 역량을 입증해왔지만, 웰스는 서드파티 라이브러리를 세분화해서 추적하고 취약점을 검토하는 점에서 개선의 여지가 있었다고 말했다.   웰스는 “과거에는 우리가 사용하는 라이브러리, 각 릴리스에 사용된 라이브러리의 버전을 수동으로 추적해야 했다. 이 자료를 ...

SBOM 소프트웨어명세서 서드파티라이브러리목록 2022.06.21

트렌드마이크로, ‘ICS·OT 산업 사이버 보안 보고서’ 발표…“산업계 사이버 공격으로 수십억 피해 초래”

트렌드마이크로가 ‘산업 사이버 보안 현황 보고서(The State of Industrial Cybersecurity)’를 발표해 ICS/OT 환경에 가해지는 사이버 위협 영향을 공개했다.  독일, 미국, 일본 등의 전기, 석유 및 가스, 제조 부문 산업제어시스템(ICS) 사이버 보안 리더 900명을 대상으로 설문조사를 실시한 이번 보고서는 응답자의 89%가 지난 한 해 사이버 공격으로 인해 생산과 에너지 공급에 영향을 받았다고 밝혔다. 트렌드마이크로 인프라 전략 부문 윌리엄 말릭 부사장은 “전세계의 주요 산업들이 지속가능한 성장을 위해 디지털 전환을 추진하는 가운데, 사이버 공격으로 인한 재정적 피해 및 평판 손상의 가능성도 증가했다”며 “복잡한 IT 및 OT 환경을 효과적으로 관리하기 위해서는 뛰어난 성능과 폭 넓은 기능을 기반으로 두 환경 모두에서 최고의 보안 수준을 제공하는 숙련된 파트너사가 필요하다”고 말했다. 이번 보고서는 콜로니얼 파이프라인 랜섬웨어 공격 발생 1년 후 발표됐다. 이 랜섬웨어 공격은 OT 시스템을 며칠동안 중단시키고 미국 동부 연안에 대대적인 연료 부족 사태를 초래해 현재까지도 가장 큰 국가 중요 인프라(CNI) 공격으로 언급된다. 보고서에 따르면 국가 중요 인프라 공격으로 영향을 받은 적 있는 조직의 절반 가량이 사이버 보안 인프라 개발을 위해 노력한 것으로 나타났다. 그러나 일부는 자원과 지식 부족으로 이러한 개발에 어려움을 겪고 있는 것으로 확인됐다. 또한, 산업제어시스템 및 운영기술(ICS/OT)이 겪은 사이버 장애로 발생한 조직의 재정적 피해는 평균 280만 달러(한화 약 36억원)에 달하며, 특히 석유 및 가스 산업이 가장 큰 피해를 입은 것으로 나타났다. 응답자의 72%는 지난 1년 동안 ICS/OT 환경에서 사이버 장애를 최소 6번 경험했다고 답했다. 트렌드마이크로가 이번 보고서를 통해 확인한 산업 사이버 보안 현황은 응답자의 40%가 초기 공격을 차단하지 못했고, 일시적인 장애를 겪었다고 대답한 ...

트렌드마이크로 사이버공격 2022.06.21

텔레그램, 유료 버전 출시 계획…광고 없고 용량과 속도↑

약 7억 명에 달하는 텔레그램 사용자는 조만간 프리미엄 구독 모델을 이용하라는 안내를 받게 될 것이다. 텔레그램은 아직 유료 서비스의 요금에 대해 밝히지 않았지만, 테크크런치는 월 5~6달러 정도가 논의되고 있다고 전했다.   기꺼이 요금을 지불하는 사용자는 추가 기능과 개선된 기능을 이용할 수 있다. 예를 들어, 4GB 이상의 파일을 전송할 수 있고(무료 사용자는 2GB로 제한), 더 빠른 다운로드 옵션도 제공한다. 최대 1,000개의 채널을 팔로우할 수 있으며(무료 사용자는 500개로 제한), 최대 20개의 채팅 폴더, 폴더마다 최대 200개의 채팅을 생성할 수 있다. 이외에도 한 사용자당 최대 4개까지 계정을 추가할 수 있으며, 음성 텍스트 변환 기능, 다양한 프로파일 사진 형식 등을 지원한다. 유료 사용자는 광고에서도 자유로워진다. 텔레그램은 광고주보다는 자사 서비스의 추가 개발에 영향을 미치는 사용자를 더 선호한다고 밝혔다. 메신저 시장에는 왓츠앱부터 페이스북 메신저, 애플, 구글 등이 경쟁하고 있지만, 프리미엄 서비스를 메신저는 텔레그램이 처음이다.  CEO 파벨 두로프는 6월 초 프리미엄 버전은 추가 스토리지 공간과 대역폭에 대한 사용자의 요구에 부응하기 위한 것이라고 밝힌 바 있다. 두로프는 “기존 기능을 무료로 유지하면서 까다로운 고객에게 더 많은 것을 제공하는 유일한 방법은 유료 옵션으로 더 높은 한도를 제공하는 것뿐이라는 것을 알았다”라고 말했다. 2021년 3월 기준으로 텔레그램은 무바달라, 아부다비 카탈리스트 파트너 등 다양한 투자자로부터 10억 달러가 넘는 자금을 유치한 상태. 이를 위해 5년 만기 전환 사채를 프리마켓에서 판매했다.  두로프는 텔레그램의 핵심 기능은 계속 무료로 제공하고, 무료 버전을 위한 새로운 기능 개발도 계속하고자 한다. 또한 앞으로는 별도의 초대 링크 없이도 사용자가 공개 그룹 회원 자격을 신청할 수 있을 것이라고 밝혔다. 무료 버전에는 인증된 그룹과 채널에서 채팅 상단에 배...

텔레그램 프리미엄 유료 2022.06.21

안랩, ‘2023 도하 엑스포 VIP 초대장’ 문서로 위장한 악성코드 발견

안랩이 ‘2023 도하 엑스포 VIP 초대장’을 위장한 문서파일로 유포되는 악성코드를 발견해 사용자의 주의를 당부했다.   공격자는 먼저 ‘VIP Invitation to Doha Expo 2023(2023 도하 엑스포 VIP 초대)’라는 제목의 워드 문서 파일(.docx)을 메일 등으로 유포했다. 사용자가 해당 문서를 실행하면 ‘2023 도하 엑스포’의 VIP 초대장으로 보이는 본문이 열린다. 동시에 사용자 몰래 특정 URL에 자동으로 접속해 악성코드를 다운로드 및 설치한다. 감염 이후 공격자는 PC내 정보 탈취, 추가 악성행위를 위한 권한 획득 등 다양한 악성행위를 시도할 수 있다. 공격자는 악성코드 설치에 최근 확인된 MS오피스의 보안 취약점을 악용했다. 현재 해당 취약점에 대한 보안 패치는 마이크로소프트 보안 대응 센터 웹사이트(https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190)에서 다운로드 가능하다. 안랩은 V3를 비롯해 차세대 엔드포인트 위협 탐지 및 대응 솔루션 ‘안랩 EDR’, APT 공격 대응 솔루션 ‘안랩 MDS’의 파일 및 행위 기반 진단 기능 등으로 해당 악성코드를 차단하고 있다. 피해 예방을 위해 사용자는 ▲오피스 SW, OS 및 인터넷 브라우저(엣지, 크롬, 파이어폭스 등) 프로그램 최신 보안패치 적용 ▲출처가 불분명한 파일 다운로드/실행 금지 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안수칙을 준수해야 한다. 안랩 박종윤 선임연구원은 “대형 이벤트를 사칭한 콘텐츠로 사용자의 관심을 끌어 악성코드를 유포하는 방식은 꾸준히 발견되고 있다”며, “사용자는 출처를 알 수 없는 메일 속 첨부파일은 실행하지 말고, 소프트웨어나 OS 사용시 주기적으로 보안패치 및 업데이트를 적용해야 한다”고 말했다. editor@itworld.co.kr

안랩 2022.06.21

“버전 설정 악용해 셰어포인트·원드라이브 파일 해킹할 수 있다” 프루프포인트 연구

개념증명(PoC) 익스플로잇이 발생하면 원드라이드 또는 셰어포인트에 저장된 오피스 365 또는 마이크로소프트 365 문서에 액세스하지 못하게 될 수 있다.  프루프포인트(Proofpoint) 연구진에 따르면 클라우드에 호스팅되는 문서가 랜섬웨어 공격자의 손이 닿지 않는 곳에 있고(랜섬웨어 공격은 전통적으로 엔드포인트 또는 네트워크 드라이브의 데이터를 타깃으로 삼았다), 아울러 클라우드 서비스의 자동 백업 기능으로 (랜섬웨어 공격자의) 암호화가 통하지 않을 수 있지만 그렇다 하더라도 기업들을 난관에 봉착하게 만드는 방법은 여전히 존재한다.  연구진은 오피스 365와 마이크로소프트 365 클라우드에서 마이크로소프트 원드라이브 및 셰어포인트 온라인 서비스의 문서 버전 설정을 악용하는 개념증명 공격 시나리오를 발견했다고 밝혔다. 이런 서비스는 API를 통해 대부분의 기능에 액세스할 수 있기 때문에 명령줄 인터페이스와 파워셸 스크립트를 사용하여 이 잠재적인 공격을 자동화할 수도 있다고 회사 측은 덧붙였다.  문서 버전 수 줄이기 프루프포인트에 의하면  공격 체인은 해커가 1개 이상의 셰어포인트 온라인 또는 원드라이브 계정을 손상시키는 것으로 시작된다. 이는 피싱이나, 사용자 컴퓨터에 맬웨어를 감염시킨 다음 인증된 세션을 하이재킹하거나, 오쓰(OAuth)를 통해 서드파티 애플리케이션에 계정 액세스 권한을 부여하도록 사용자를 속이는 등 다양한 방법으로 이뤄질 수 있다.    이를 통해 공격자는 계정이 손상된 사용자의 모든 문서에 액세스할 수 있게 된다. 셰어포인트에서 이를 문서 라이브러리라고 하며, 기본적으로 여러 문서와 해당되는 메타데이터를 저장할 수 있는 목록이다. 원드라이브와 셰어포인트의 한 가지 문서 기능은 편집할 때마다 자동 저장 기능에서 사용되는 파일 버전 관리다. 기본적으로 문서에는 최대 500개의 버전이 있을 수 있지만 이 설정은 하나의 버전으로만 구성할 수 있다.  연구진은 “셰어포인...

마이크로소프트 원드라이브 셰어포인트 2022.06.20

시스코, ‘시스코 라이브 2022’ 개최…차량용 SW, 하이브리드 업무 등 미래 지향적 기술 혁신 사례 공유

시스코 시스템즈가 미국 라스베이거스 및 온라인에서 6월 12일부터 16일까지 자사의 연례 네트워크 및 보안 행사인 ‘시스코 라이브 2022(Cisco Live 2022)’를 개최했다.    지난 2년간 온라인으로 열렸던 시스코 라이브는 올해 첫 하이브리드 방식으로 진행됐으며 라이브 스트리밍을 통해 전 세계 온라인 시청자들과 1만5,000여 명의 현장 방문객에게 시스코의 혁신성과 네트워킹 기술을 소개했다. 이번 행사에는 척 로빈스 시스코 회장 겸 최고경영자(CEO)를 포함한 시스코 주요 리더십들이 연사자로 나섰으며 아마존, 라스베이거스 시 정부, 포드, 맥라렌 레이싱, 스타벅스 등 다양한 고객사가 참여한 혁신 토크(Innovation Talk)와 현장 세미나, 리더십 및 기술 교육 세션이 진행됐다.  국내에서는 시스코코리아가 시스코 라이브 2022의 일환으로 지난 15일 APJC(아시아태평양·일본·중국) 지역 언론 대상 온라인 미디어 라운드테이블을 진행했다. 데이브 웨스트 시스코 APJC 지역 총괄 사장이 발표자로 나서 최신 비즈니스 동향과 미래 도전과제 해결을 위한 기술의 역할에 대한 인사이트를 공유했다. 이어 비쉬 아이어 시스코 APJC 아키텍처 부사장은 새로운 클라우드 주도 혁신과 ‘예측 네트워킹(Predictive Networking)’ 영역에서의 시스코 혁신에 대해 소개했다.  시스코는 하이브리드 환경에서 기업이 생산성과 탄력성을 높이고 변화하는 외부 요건에 유연하고 민첩하게 대처할 수 있도록 돕는 신기술을 공개했다. 네트워크, 보안, 협업 및 최적화 애플리케이션 포트폴리오에 걸친 이번 기술들은 시스코의 비전인 ‘포용적 미래(Inclusive Future)’를 만드는데 기여한다고 업체 측은 설명했다. 시스코는 시스코 머라키(Cisco Meraki), 시스코 카탈리스트(Cisco Catalyst), 시스코 넥서스(Cisco Nexus) 포트폴리오에 걸쳐 통합된 경험을 지원하는 클라우드 관리 기능과 WAN 퍼포...

시스코 2022.06.17

“누가 맹수에게 먹이를 주는가?” 사이버리즌 랜섬웨어 연구 보고서

최근 몇 년 동안 랜섬웨어는 가장 큰 보안 위협으로 떠올랐다. 다크사이드(Darkside)나 레빌(REvil), 콘티(Conti) 같은 사이버 범죄 집단은 수많은 공격으로 이름을 알렸다. 미국 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline), 육류 생산회사 JBS, 그리고 코스타 리카의 국가 기관 및 단체에 대한 공격이 전 세계 매체의 헤드라인을 장식했다. 코스타 리카 로드리고 차베스 로블레스 대통령은 국가 비상 사태를 선언하기도 했다.   나아가 이들 범죄 단체는 공격 툴을 서비스형 랜섬웨어(Ransomware as a Service)로 제공하면서 알짜배기 수익 모델을 마련했다. 누구든 서비스형 랜섬웨어와 기존 클라우드 인프라를 이용해 블랙메일 사업을 시작할 수 있도록 한 것이다. 랜섬웨어가 이토록 어려운 해결 과제가 된 데는 사이버 범죄 집단과 국가 지원 공격자 간의 경계가 모호하다는 것도 한몫했다.  IT 보안 전문업체 사이버리즌(Cybereason)이 의뢰한 연구 보고서 ‘랜섬웨어 : 기업의 진짜 비용(Ransomware :The True Costs to Business)’ 역시 이들 정치적 목적의 공격자를 ‘국가 통제’ 또는 ‘국가 묵인’ 공격자라고 부른다. 이들 공격자가 속한 국가의 정부는 공격이 정치적 목표에 도움이 되는 한 애써 눈을 감는다.   몸값보다 더 큰 랜섬웨어 피해 비용  랜섬웨어 공격을 받은 기업에 구원자는 없다. 유일한 반격 방법은 금전 요구를 거부하고 백업을 이용해 손상된 시스템을 최대한 복구하면서 공격자가 가로챈 민감한 정보를 공개해버리거나 팔아버리지 않기를 기도하는 수밖에 없다. 다른 방법은 이른바 ‘몸값’을 지불하고 악당이 해독키를 넘겨줘 무사히 시스템을 되돌릴 수 있기를 기대하는 것이다. 두 번째 방법은 언뜻 보기에는 쉽고 단순해 보인다. 하지만 사이버리즌의 조사에 따르면, 공격자에게 몸값을 지불하지 말아야 할 이유는 한둘이 아니다. 몸값을 지불한 기업은 종종 데...

랜섬웨어 몸값 사이버리즌 2022.06.16

리눅스 악성코드 ‘판찬’ 등장 “아시아 지역과 교육 업계 피해 증가”

SSH 무차별 대입 공격으로 리눅스 서버를 감염시키는 새로운 악성코드 ‘판찬(Panchan)’이 등장했다. 아카마이 연구원에 따르면 판찬은 고 언어로 작성됐으며 지난 3월 말 처음 발견됐다. 현재까지 다양한 국가의 서버를 마비시키고 있는데, 그중에서도 아시아 지역과 교육 업계의 피해가 가장 큰 상황이다.    아카마이는 “패스워드가 허술하게 설정된 곳이나 훔친 SSH 키를 활용해 내부망을 이동하는 식의 공격에 취약한 곳에서 피해를 입고 있다”라며 “대학은 일반 회사보다 서로 협업할 기회가 많은데, 특정 기기의 접근권한을 주기 위해 정보를 넘겨주는 과정에서 문제가 발생했 수 있다”라고 설명했다.  실제로 아카마이가 피해 상황을 조사한 결과, 피해 학교는 같은 지역에 소속돼 있는 경우가 많았다. 스페인에 있는 대학이 서로 감염되거나, 대만이나 홍콩 등 같은 언어권 내 학교가 피해를 입는 식이다. 판찬은 악성코드 중에서도 웜에 해당해서 스스로 복제해 다른 컴퓨터로 자동으로 옮겨가는 특징이 있다. 공격 방식은 SSH 원격 액세스 서비스에 무차별 대입 공격을 시작해 사용자 이름 및 암호 조합을 추측하거나, 감염된 시스템에서 인증된 SSH 키를 찾아 탈취하는 식으로 진행된다. 아카마이는 “판찬은 홈 디렉토리를 통해 SSH 정보와 키를 찾는다. ~HOME/.ssh/id_rsaand 주소에 있는 프라이빗 키를 찾고 ~HOME/.ssh/known_host 주소 아래에 있는 IP 주소를 통해 침투한다. 다른 악성코드에서는 시도하지 않았던 새로운 계정 탈취 방식이다”라고 밝혔다.  판찬은 새로운 기기에 접근한 이후 루트 디렉토리 아래 새로운 폴더를 생성한다. 폴더명은 임의로 정해지며 xinetd라는 이름의 악성 파일을 해당 폴더 안에 복제해둔다. 이후 연결된 다른 컴퓨터에서 악성코드가 실행되며, 감염된 기기들은 서로 통신하며 필요한 지시를 내리거나 설정을 바꾼다. 통신 채널은 TCP 포트 1919로, 악성코드는 iptables 명령어...

봇넷 판찬 악성코드 2022.06.16

SK쉴더스, ‘RSA 컨퍼런스 2022’의 핵심 인사이트 및 보안 트렌드 공개

SK쉴더스가 지난 6일부터 9일까지 미국 샌프란시스코에서 열린 ‘RSA 컨퍼런스 2022’에 참가하고, 현장에서 얻은 인사이트 기반의 참관 후기를 온라인 고객 세미나로 진행했다.   이번 온라인 고객 세미나는 ‘SK쉴더스가 바라본 RSA 컨퍼런스 2022 인사이트 및 보안 트렌드’를 주제로 이뤄졌다. 코로나 팬데믹 이후 변화한 전반적인 사이버보안 산업의 글로벌 트렌드는 물론, 최근 증가하고 있는 신규 보안 위협과 주요 사고 사례 그리고 미국 프라이버시 법제 동향 및 공급망 위험관리 등을 소개했다. 특히, 최근 보안위협과 주요사고 사례는 국내 화이트해커그룹인 EQST와 톱-CERT가 직접 현장에서 참관한 내용을 바탕으로 구성했다. 첫 번째 세션을 맡은 SK쉴더스 유종훈 클라우드사업그룹장은 RSA 컨퍼런스에서 언급된 주요 키워드를 기반으로 사이버보안 트렌드에 대한 인사이트를 공유했다. 이번 RSA 컨퍼런스에서  가장 많이 언급된 키워드는 ‘클라우드’로 주요 주제마다 클라우드 보안과 보안 운영방안이 설명되었으며, 다양한 솔루션과 서비스가 소개됐다고 밝혔다. ‘랜섬웨어’ 또한 주로 언급된 공격 유형으로, 경제적인 이득을 위한 랜섬웨어 공격에서부터 산업화 단계에까지 이른 랜섬웨어의 위험성에 대한 많은 언급이 있었다. 또한 많은 기업에서 사용하고 있는 AD(Active Directory)에 대한 공격, 계정 유출 공격, API, XDR(eXtended Threat Detection&Response) 등이 주로 다뤄졌다. 이어서, EQST 김태환 PL과 톱-CERT 김성동 팀장은 2022년도 최신 해킹 트렌드와 주요 사고 사례와 대응방안에 대해 소개했다. 특히, RSA 컨퍼런스에 소개된 주요 보안 사고를 6가지로 정리했다. ▲클라우드 타깃 공격 ▲계정 유출 공격 ▲시스템 백업 공격 ▲랜섬웨어 공격 ▲국가 기반 시설망 공격 ▲공급망 공격 등이다. 각각의 공격 유형에 따른 사고 원인을 분석하고 대응 방안에 대해서도 상세히 다뤘다. 클라우드를 ...

SK쉴더스 RSA 보안트렌드 2022.06.16

"파괴인가, 혁신인가?" 블록체인 안에서 만나는 웹3와 IAM의 가능성

ID 및 접근 관리(IAM)는 폭 넓은 IT 관행을 적극 수용하는 프레임워크다. IAM은 위협 행위자 활동과 인프라 복잡성이 증가하면서 그 중요성이 커지고 있다. 최근 사용되는 도구도 더욱 정교해진다. 웹3 기술에는 IAM 대응에 특화된 고유의 특징이 있다. 먼저 웹3는 암호학을 바탕으로 전례 없는 수준의 개인정보보호 기능을 내장했다. 블록체인의 유효성은 암호화에 입각한다. 즉, 암호화 특성상 모든 온체인 데이터가 어느 정도 보호된다. 웹3의 세계와 IAM의 세계가 서로 만나는 지점과 미래의 가능성을 살펴보자.   블록체인 기술의 기초 (최소한 이상적인 형태의) 블록체인 애플리케이션은 범용적인 분산 데이터저장소로 봐야 한다. 이 데이터저장소에는 두 종류의 노드가 있다. 하나는 청구를 제기하는 방식으로 네트워크에 참여한다(일명 지갑 노드). 다른 하나인 풀(full) 노드는 제기된 청구를 검증하기 위해 협업하는 방식으로 네트워크에 참여한다.  지갑 노드는 거래를 데이터베이스에 제출한다. 협업하는 풀 노드 네트워크에 의해 유효하다고 판단된 거래는 데이터저장소의 공유된 진실의 일부가 된다. 그러면 지갑 노드는 거래에 대한 청구를 제기할 수 있다. 가장 기본적인 청구는 일정한 데이터의 소유권 청구이다. 이 모든 것이 가능한 이유는 지갑이 근본적으로 (암호학적인 의미에서) 프라이빗 키이고 지갑이 수행하는 모든 거래가 지갑의 키로 서명되기 때문이다. 그러므로 키는 예전에 청구를 제기한 사람과 지금 청구를 제기하는 사람이 동일인이라는 수학적 증거가 된다.   ID로서의 지갑 그렇다면 블록체인 지갑의 개념은 일종의 ID라는 것을 알 수 있다. 이 ID는 인증에 사용할 수 있다. 아주 단순한 논리다. 프라이빗 키는 이미 기존 보안 분야에서도 당사자 간 안전한 통신을 구축하는 용도로 널리 사용돼 왔다. 그러나 다른 의미에서는 혁신적인 측면이 있다. 오스0(Auth0) 연구소의 언급대로, “블록체인이 채택되면서 생긴 부산물 중 가장 중요한 것...

2022.06.16

사이드 채널 일종인 헤르츠블리드, 개인 사용자에게도 위험할 가능성은?

기술 보안 업체는 좀비 영화에 나오는 바이러스 연구자와 비슷한 구석이 있다. 이론적으로는 연구하는 내용도 중요하지만 연구 대상 자체가 말로 다 할 수 없을 만큼 사악하다. 컴퓨터를 괴롭히면서 흔히 생각하지 못하는 방식으로 인간을 공격하는 방법을 찾아내는 것이 이들의 일이다. 이번주 언론이 주목한 헤르츠블리드(Hertzbleed) 취약점이 정말 걱정해야 하는 대상일까? 대다수 사용자가 심각하게 우려할 만한 것은 아니라는 것이 결론이다. 헤르츠블리드는 여러 미국 대학교 보안 연구자들이 공동으로 발견해 보안 심포지움을 거치지 않고 독자적인 웹사이트에 발표한 취약점이다. 이들은 현대 CPU가 동적으로 코어 주파수를 조정해서 연산 내용을 파악하는 방식을 모방해 암호화 키를 심는 프로그램을 침투시킬 이론적 근거나 가능성이 있다고 주장한다. 이런 사이드 채널 공격은 바이러스, 랜섬웨어 등 침입적 설치 프로그램 없이도 동작할 수 있다. 이론적으로는 암호화 데이터부터 비밀번호와 암호화폐까지 훔쳐갈 수도 있다.   공격 방식으로 지극히 흔한 주파수 스케일 기능을 사용하는 만큼, 헤르츠블리드는 매우 무해하고 효과적이며 영향도 광범위하다. 모든 최신 인텔 프로세서, 젠 2와 젠 3를 탑재한 AMD 노트북과 데스크톱에서 활동할 가능성이 있다. 이론적으로는 최근 10년 안에 만들어진 모든 CPU에서 작동할 수도 있다. 하지만 개인 사용자가 헤르츠블리드 취약점을 우려해야 할까? 매일 사용하는 노트북이나 데스크톱 PC에서 엄청나게 가치 있는 기업 정보나 정부 기밀 데이터를 취급하는 것이 아니라면, 대답은 ‘아니다’이다. 헤르츠블리드가 데이터를 훔치는 효과적이고 독창적인 방법이기는 하지만 유달리 만능 수단인 것은 아니다. 인텔에 따르면 데이터를 접근 및 식별할 때 CPU 스케일링을 관찰해 암호화 키를 훔치기까지 수 시간, 수일이 걸린다. 공격 감행에 필요한 이론 상의 악성 코드가 보고서에 기록된 대로 정교한 전력 모니터링 기능을 복제할 수 있다고 해도 마찬가지다. 향후 누...

사이드채널 헤르츠블리드 CPU 2022.06.16

스플렁크, ‘닷컨프22’서 주요 데이터 플랫폼 업데이트 발표

스플렁크가 자사 연례 행사인 ‘닷컨프22(.conf22)’에서 공유 데이터 플랫폼에서 통합된 보안 및 옵저버빌리티를 제공하는 신규 기능을 공개했다. 스플렁크 통합 보안 및 옵저버빌리티 플랫폼의 강화된 기능은 조직이 데이터 중심 사용 사례를 해결할 수 있도록 엔드투엔드 가시성, 빠른 조사 착수 및 실행 시간 그리고 향상된 확장성을 제공한다고 업체 측은 설명했다. 스플렁크 클라우드 플랫폼(Splunk Cloud Platform) 및 스플렁크 엔터프라이즈 9.0(Splunk Enterprise 9.0) 공식 출시 버전을 포함한 스플렁크 플랫폼(The Splunk Platform)은 고객사가 더 많은 데이터 소스에 쉽게 접근하고, 인사이트를 더욱 빠르게 찾아 운영하며, 배포 환경을 보호하고 확장하며, 데이터 관리 업무를 간소화한다. 이를 통해 데이터를 비즈니스 성과로 전환할 수 있다. 스플렁크 클라우드 플랫폼 데이터 매니저(Data Manager for Splunk Cloud Platform)는 AWS 및 마이크로소프트 애저의 확장 가능한 데이터 온보딩 과정을 지원하며, 몇 분 내에 스플렁크로 유입되는 데이터를 손쉽게 제어할 수 있는 하이브리드 클라우드 제어 기능을 제공한다. 스플렁크 로그 옵저버 커넥트(Splunk Log Observer Connect)는 스플렁크의 클라우드 플랫폼 및 옵저버빌리티 기능을 통합해 고객사가 데이터를 모두 한 곳에서 시각화할 수 있도록 한다. 따라서 사이트 신뢰성(SRE) 및 데브옵스(DevOps) 엔지니어는 단일 인터페이스에서 메트릭스, 추적 및 스플렁크 클라우드 로그에 접속해 스플렁크 내에서 더욱 빠르게 오류를 검출 및 제거할 수 있다. 프리뷰 버전으로 사용할 수 있는 스플렁크 인시던트 인텔리전스(Splunk Incident Intelligence)는 이벤트 상관관계, 사건 대응, 온콜(on-call) 라우팅, 협업 및 자동화를 통합된 워크플로우로 제공해 데브옵스 팀이 사건을 조사하고 향상된 시스템 회복탄력성을 보장하기 위한...

스플렁크 2022.06.15

‘해킹도 ML로 진화 중’ 머신러닝 해킹 수법 9가지

머신러닝 알고리즘은 보안 솔루션을 개선하여 애널리스트가 위협을 분류하고 취약점을 신속하게 해결할 수 있도록 지원한다. 하지만 동시에 해커들이 더 큰 규모의 복잡한 사이버 공격을 가하는 데 악용되기도 한다.    머신러닝과 인공지능은 보안 위협을 검출하고 대응하는 핵심 기술이 되고 있다. 변화무쌍한 사이버 위협에 맞서 스스로 학습하고 적응할 수 있는 능력이 큰 강점이다.  한편 해커들이 머신러닝과 AI를 악용하여 사이버 공격을 확대하고, 보안 통제를 회피하며, 전례 없는 속도로 파괴적인 결과를 초래하는 새로운 취약성을 찾아내고 있다. 이 글에서는 해커가 이러한 기술을 악용하는 가장 일반적인 방법 9가지를 알아보고자 한다.  1. 스팸 필터를 속이는 스팸 메일  시장조사기관 옴디아(Omdia)의 애널리스트 페르난도 몬테네그로는 보안 관리자들이 수십 년 동안 스팸 메일을 걸러내는 데 머신러닝을 사용해 왔다고 말했다. 몬테네그로는 “스팸 메일 차단이 머신러닝이 활용된 최초의 사례였다”라고 설명했다. 하지만 머신러닝은 스팸 방지 필터를 속이는 데 악용될 수 있다. 스팸 필터가 특정 메일을 차단한 이유나 ‘스팸 지수’ 같은 정보를 생성한다면, 해커는 이를 사용하여 스팸 메일의 내용을 조정할 수 있다. 몬테네그로는 “계속 이메일을 전송하면서 정보를 얻으면 스팸 필터 모델의 작동 기준을 재구성할 수 있다. 이를 통해 메일 내용을 미세하게 바꿔가면서 스팸 필터를 우회할 수 있게 된다”라고 설명했다.   취약점은 스팸 필터에만 있지 않다. 몬테네그로는 점수나 기타 수치를 제공하는 보안업체가 잠재적으로 악용될 수 있다고 말했다. 몬테네그로는 “모든 업체가 이러한 취약점을 안고 있는 것은 아니지만, 주의하지 않으면 누군가가 악용할 수 있는 정보를 의도치 않게 제공하게 될 수 있다”라고 덧붙였다.  2. 더 정교해진 피싱 메일 공격자는 메시지가 스팸 필터를 통과할 수 있는지 테스트하기 위해 머신러닝 보안 도구...

머신러닝 사전대입공격 딥페이크 2022.06.15

글로벌 칼럼 | ‘동종 최고 기술’이여 잘 있거라

필자는 20년 전부터 사이버보안 업계에서 경력을 쌓기 시작했다. 당시에는 마치 복음처럼 여겨지는 견고한 보안 기술 원칙이 몇 가지 있었다. 그중 하나는 ‘동종 최고(best-of-breed)’ 보안 기술에 대한 주장이었다. 2000년대 초 보안 업계에서 일했던 사람이라면 모든 엔드포인트에 일일이 방화벽과 안티바이러스 소프트웨어를 설치하던 것을 기억할 것이다.  그 후 동종 최고 기술은 또 다른 유서 깊은 원칙인 ‘종심 방어(defense-in-depth)’의 일부와 결합했다. 이론상 동종 최고 기술은 보안을 점진적으로 보호하기 위해 서로를 보완하기 때문이다. 그러는 동안 동종 최고 기술에 대한 사고방식은 사이버보안 문화에 서서히 스며들며 개인과 기업이 선호하는 기술을 긴밀하게 연결했다. 기업들은 맥아피 또는 시멘틱 매장이었고 체크포인트와 시스코, 포티넷 방화벽을 사용했다. 보안 업계의 이른바 ‘서버 허거(Server Hugger, 중앙 관리자에게 서버 통제권을 내어주지 않는 사람들)’은 변경 제안을 신성 모독으로 받아들였다.  동종 최고의 보안은 당시에는 야간의 보안 이점이 있었을 수 있지만, 운영 오버헤드에 큰 비용을 투입해야 했다. 또한 기술마다 자체적인 교육과 구성 관리, 지원이 필요했지만 제대로 이뤄지지 않았다. 동종 최고 제품에 대한 운영 오버헤드는 2000년대 초반까지만 해도 감수할 수 있었지만, 기업에서 새로운 보안 기술을 더 많이 도입하고 IT 인프라가 분산/확장됨에 따라 실질적인 문제가 됐다.  변화의 조짐 그동안 보안 전문가의 마음과 정신을 지배하던 동종 최고 우선주의는 서서히 영향력이 약해지고 있다. ESG(Enterprise Strategy Group)와 ISSA(Information Systems Security Association)의 최근 조사에 따르면, 기업은 동종 최고 제품을 구입하는 전략에서 ‘통합 및 다중 제품 보안 플랫폼’으로 이동하고 있다. 조사 결과 자신이 속한 기업이 여전히 동종 최고...

보안 RSA컨퍼런스 XDR 2022.06.15

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.